A conformidade com a Lei nº 13.709/2018 deve ser observada pelas empresas e instituições públicas que queiram manter os dados pessoais dos titulares protegidos, respeitando  a privacidade  e a conformidade com os regulamentos atuais. 

Sendo compreendida como uma técnica onde elementos visuais e tecnológicos são inseridos em documentos jurídicos, como contratos, termos e condições e até mesmo apresentações, o Visual Law é versátil e inovador e tende a trazer diversos benefícios quando bem aplicado. 

Destrinchamos as principais características de um documento com Visual Law e o papel que exerce para disseminação da cultura de proteção de dados e para adequação das empresas presentes no mercado.

Funcionamento do Visual Law

Transparência e acessibilidade são palavras ligadas ao Visual Law, cujo propósito é  facilitar o entendimento das informações dispostas em documentos jurídicos, muitas vezes carregados por termos específicos da área e textos extensos. 

A tecnologia tem um papel fundamental para a disseminação desta técnica que hoje permite que clientes e outras partes envolvidas entendam e absorvam todos os pontos dispostos em petições ou contratos, por exemplo. 

LEIA TAMBÉM: Inclusão e acessibilidade no Visual Law e relação com a sigla S do ESG

  Além de elementos tecnológicos (como links externos, dashboards, vídeos explicativos), os componentes visuais (como as ilustrações, infográficos, imagens, bullet points, mapas mentais e fluxogramas) e mudanças e reduções textuais permitem que os leitores tenham um novo olhar sobre o conteúdo. 

Como resultado, há o maior entendimento sobre as questões em pauta, a redução de conflitos, uma resolução mais rápida dos casos e uma maior assertividade nos resultados obtidos. Quando o setor jurídico das empresas decide aplicar o conceito para documentos internos ou divulgação externa o efeito também tende a ser positivo. 

Conheça o Visual Legal, o Visual Law da LBCA, entenda a aplicabilidade e como funciona a uma leitura clara de quaisquer documentos jurídicos.

Conformidade com a LGPD

A proteção e privacidade passaram a ser prioridades, visando garantir a segurança no tratamento dos dados dos titulares por todas as instituições que lidam diretamente com clientes, colaboradores e parceiros. 

Estar em conformidade com o regulamento é uma necessidade, mas o processo também traz alguns desafios. Um dos maiores está relacionado com a adequação por parte de todos os colaboradores e a divulgação das normas e medidas de conformidade.

O Visual Law pode ser utilizado para melhorar essa comunicação com os colaboradores através da divulgação assertiva das políticas e práticas internas.

Com a utilização adequada e equilibrada da ferramenta, o conteúdo se torna mais visual, e portanto, mais compreensível para todos. A consequência é a redução de riscos internos e a garantia de que as informações serão tratadas em conformidade à Lei e às políticas internas da empresa. Isso tudo traz benefícios reputacionais à empresa.

LEIA TAMBÉM: 3 principais dúvidas sobre o Visual Law

Além disso, ao estabelecer a transparência como um de seus princípios, a LGPD exige que as empresas forneçam aos titulares informações claras, precisas e facilmente acessíveis sobre o tratamento de seus dados pessoais. Nesse contexto, o Visual Law emerge como uma ferramenta crucial para tornar as políticas e avisos de privacidade mais compreensíveis, atrativos e acessíveis, assegurando que os titulares compreendam claramente como seus dados estão sendo tratados.

Por fim, a adoção do Visual Law pode aprimorar os processos de obtenção de consentimento dos titulares. Ao tornar as informações visuais e atrativas, o Visual Law não apenas melhora a experiência do usuário, mas também garante que ele tenha plena compreensão do que está consentindo e se sinta mais confiante em sua relação com a empresa.

A LGPD Brasil está presente no mercado para oferecer soluções e auxiliar clientes de diferentes ramos a estarem em total adequação com a lei. Dessa maneira, um time especializado realiza consultorias personalizadas para entender o momento em que se encontra e seguir com as ações necessárias.

A lei ainda reforça a necessidade de nomeação de um encarregado de dados (DPO) que atuará diretamente com a inserção das medidas e em casos específicos, sendo a ponte entre a ANPD e a instituição. Acesse o site para compreender mais sobre a atuação deste profissional e as ações a serem tomadas pela empresa. 

O post Visual Law como facilitador da aplicação da LGPD apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

O presidente da Comissão de Privacidade, Proteção de Dados e IA da OAB/SP e sócio da LBCA, Solano de Camargo,  ressaltou que o avanço digital nivelou a competição, permitindo que escritórios de advocacia fora dos grandes centros se posicionem no mercado corporativo.

“Antes da internet, havia poucos escritórios dotados de infraestrutura necessária para atender os grandes clientes empresariais, realidade distante da grande maioria das demais bancas. Mas o avanço digital igualou a competição, permitindo a democratização do conhecimento e a disseminação de novas ferramentas, em grande parte gratuitas, aumentando – e muito – os novos escritórios aptos a atender o mercado corporativo, fora do eixo da Avenida Paulista.” apontou durante a abertura do evento.

Solano destacou também que os advogados não mais precisam aprender programação para explorar as novas potencialidades da Inteligência Artificial (IA): basta saberem pedir, ou melhor, elaborar de maneira técnica suas necessidades junto aos modelos de IA. E, para isso, os advogados levam vantagem, porque são treinados para “requererem” o tempo todo em seu exercício profissional. Ele enfatizou que a IA não irá acabar com a advocacia, mas fará com que a profissão seja mais produtiva, de forma que os advogados que não fizerem uso das novas tecnologias serão rapidamente superados.

Na primeira mesa de debates do Congresso, sobre “O Futuro do Direito e o Direito do Futuro”, presidida pela sócia da LBCA Agatha Marquezini, também fizeram uso da palavra o Vice-presidente da OAB-SP, Leonardo Sica; a Secretária-geral da Ordem, Daniela Magalhães; e o deputado federal, Orlando Silva, relator do PL das Fake News na Câmara Federal. Silva lembrou que o Brasil participa de um debate regulatório global, sofrendo influência de dois dínamos principais – os polos norte-americano e o europeu. Ele discorreu sobre as principais normas que compõe o arcabouço legal da esfera digital brasileira, com destaque para o Marco Civil da Internet, a Lei Geral de Proteção de Dados e a Emenda Constitucional 115, sobre proteção de dados pessoais. Para Orlando Silva, o desafio é fazer uma lei que contemple o conjunto de atividades digitais, porque hoje há muitas lacunas a serem preenchidas.

VEJA MAIS: LBCA apoia 1º Congresso de Inteligência Artificial no Direito; inscrições estão abertas

Ressaltou a dificuldade do debate de temas sensíveis na Câmara dos Deputados e no Senado Federal, devido a uma tensão política forte nas duas Casas legislativas, caso do debate sobre IA. O Projeto de Lei 21/2021 da Câmara dos Deputado, na opinião dele, é muito principiológico e o projeto do Senado Federal (PL 2338/20230), baseado na matriz europeia, é mais conceitual e graduado em riscos, sendo este último, em sua opinião,  mais pertinente. Na análise do deputado, os projetos da Câmara e Senado precisam convergir, visto que as iniciativas principiológicas correm o risco de não regular adequadamente. Para Orlando Silva, o Brasil precisa conceber uma arquitetura jurídica ajustada, com normas mais conceituais, técnicas, autônomas para regular a IA.

Na sequência, a mesa sobre “Proteção de Dados na Era da IA” contou com a presidência do sócio da LBCA, Paulo Vinícius de Carvalho Soares, e reuniu Cláudio Lucena, professor da Universidade da Paraíba e membro do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD); Paula Guedes; Pesquisadora da Data Privacy Brasil; e Tomaz Miranda, DPO (Data Protection Officer) do Ministério da Justiça. Em síntese, os participantes chamaram a atenção para o fato de que a discussão sobre IA mudou de eixo, deixando de incidir sobre a eventual singularidade (advento de uma IA consciente) e passou a envolver questões de usos e riscos da IA. Também chamaram atenção para uma efervescência regulatória sobre a IA em todo mundo, com foco na governança em rede, além de uma preocupação generalizada com os direitos dos titulares de dados.

A terceira mesa de debates versou sobre “Direito e Inovação na Era Digital do Agronegócio” e foi presidida pelo sócio da LBCA, Bryan Mariath Lopes, contando com a participação de Daniel Stade Ruy,  executivo jurídico, e Luís Fernando Radulov Queiroz, diretor jurídico da Zilor. O painel destacou diversos pontos de incentivo à inovação no agronegócio, como o uso responsável da IA nas operações; necessidade de mensuração de riscos no uso de novos equipamentos, como drones auto tripulados; foco em sustentabilidade ética; e medidas compensatórias ante o avanço do uso das novas tecnologias. O jurídico interno do agronegócio foi visto pelos palestrantes dentro de uma perspectiva multidisciplinar, empenhado em avaliar riscos, promover governança ética e desenvolver procedimentos de conformidade.

A quarta mesa tratou da “Transformação Digital nos Departamentos Jurídicos”, sendo presidida pelo sócio da LBCA, Fernando Torre e reunindo Fernando Prado, gerente jurídico da Pepsico; Tulio Barros, Diretor Jurídico da Simpar e Juliana Vasquez, Gerente Jurídica da Nubank. Os palestrantes convergiram para o fato de que a transformação digital permite que os departamentos jurídicos melhorem sua eficiência operacional e também se posicionem como centros de geração de valor estratégico para as companhias, cada qual apresentando cases de sucesso em suas respectivas organizações.

IA na prática

Na parte da tarde, a quinta mesa de debates do Congresso tratou do tema “IA na prática da Advocacia”, com presidência de Yun Ki Lee, sócio da LBCA e Diretor Jurídico do Corinthians, que enfatizou a importância da aplicação da IA no dia a dia do exercício profissional e sua   correlação com o Objetivo de Desenvolvimento Sustentável 16 (ODS-16) da ONU (Paz, Justiça e instituições eficazes). Compuseram a mesa dos trabalhos Maria Farran, Gerente Jurídica Sênior da 99; Maria Carolina Poiano Stella, Gerente Jurídica Trabalhista da LATAM Linhas Aéreas; Leonardo Melo Lins, Coordenador das Pesquisa TIC Empresa e TIC Provedores no Cetic.br/NIC.br (Centro Regional de Estudos para o Desenvolvimento da Sociedade de Informação); e Pedro Moura, Global Black Belt da Microsoft.

VEJA MAIS: Aplicação da IA generativa e inovação legal

A mesa abordou as “maiores dores” dos respectivos departamentos jurídicos, com especial foco na aplicação de novas tecnologias. A LBCA, por exemplo, desenvolveu 16 ferramentas low-code que empregam tecnologias de IA, batizadas de “Trilhas do Contencioso”, que foram disponibilizadas para testes em totens pelos participantes do Congresso.

Yun Ki Lee reforçou que os aplicativos foram desenvolvidos por advogadas da LBCA, que não são desenvolvedoras ou programadoras. Para a 99, por exemplo, foi criado um APP que mede a produtividade dos analistas da empresa que tratam dos subsídios e provas que são usados nos  processos. Quanto mais rápidas e  mais completas são as informações, mais efetiva será a atuação dos advogados externos. Já a LATAM utiliza uma ferramenta chamada de “Performance de Acordos”, que mostra em tempo real a evolução dos acordos, os preparativos para as audiências futuras, e os motivos pelos quais certos acordos foram infrutíferos, entre outras informações relevantes. Yun também fez referência ao fato de que as soluções de IA tem ajudado na tomada de preço e contratações no Corinthians.

O debate sobre regular ou não a IA voltou ao centro das discussões na sexta mesa do Congresso, que tratou do tema “Ética, Regulação e IA: Perspectivas”, presidida pela sócia da LBCA, Manuela Tavares, que reuniu a advogada e professora de direito do Mackenzie Maria Marinho; o Professor Titular da USP, Gustavo Monaco e o Professor e Pesquisador da FGV, Alexandre Zavaglia. Os palestrantes se dividiram sobre qual seria o melhor momento para que o Estado regulamentasse as novas tecnologias de IA. De um lado, Monaco e  Zavaglia levantaram preocupações de que a ânsia legislativa em regular leve a uma legislação açodada da IA; de outro lado, Marinho defendeu a normatização diante do argumento de que já haveria massa crítica no país sobre a questão.

A palestra de encerramento do Congresso versou sobre “Engenharia de Prompts no Direito”, em que  Solano de Camargo explicou didaticamente como é possível utilizar a Inteligência Artificial Generativa no dia a dia da advocacia, lembrando que o resultado dependerá da qualidade do prompt (mensagem de comando) escrita pelo usuário. Ele  citou, com exemplos, as etapas para alcançar o chamado “prompt perfeito”, além de muitas outras possibilidades, incluindo imagens, vídeos e deepfakes.

Ao final do Congresso, Camargo lançou seu novo livro “Manual de Engenharia de Prompts no Direito” (editora RT), em noite de autógrafos na sede da OAB-SP.

O post Em Congresso da OAB/SP, LBCA amplia debate sobre uso da IA no Direito apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

“O projeto também estabelece que o incidente deve ser notificado à ANPD – Autoridade Nacional de Proteção de Dados. Contudo, este tópico já consta do texto da LGPD – Lei Geral de Proteção de Dados Pessoais,no art. 48“, explica o advogado sócio-head da Lee, Brock, Camargo Advogados e especialista em Direito Digital, Paulo Vinícius de Carvalho Soares.

SAIBA MAIS: Brasileiros sofrem 208 golpes por hora; alta é de 37,9%

Para o advogado, o projeto aumenta a transparência que deve cercar os incidentes de segurança, como por exemplo no caso de vazamento de informações, por dois  motivos: para que  agentes de tratamentos de dados tomem ciência de incidentes semelhantes e ampliem seus  conhecimentos para evitar novos riscos e propiciar ao titular de dados a garantia de seus direitos e liberdades, evitando algum tipo de ilícito com seus dados.

Os incidentes de segurança na LGPD, segundo Soares, ocorrem quando há qualquer ato de tratamento de dados pessoais não autorizado ou desprovido de base legal como qualquer evento adverso, tais como: perda, violação, fraudes, acesso não autorizado etc.

SAIBA MAIS: Alcance da cláusula chargeback de fraudes

Que leve à violação na segurança de dados pessoais. Um caso muito comum é a tentativa de venda de dados, por exemplo. A LGPD (art. 48, § 1º) específica como sendo obrigatório que o  DPO – Data Protection Officer/Encarregado comunique à ANPD, em prazo razoável, e ao  titular de dados sobre  o incidente segurança, no caso de risco ou dano relevante, além de especificar as medidas tomadas de análise e mitigação dos riscos.

O PL 1.876/23 tramitará em caráter conclusivo pelas CCJ – Comissões de Comunicação, Constituição e Justiça e de Cidadania da Câmara dos Deputados, sendo dispensada a votação em plenário para ser aprovada. Isso só ocorre no caso de haver recurso assinado por 52 parlamentares.

Fonte: Migalhas

O post Advogado analisa PL que amplia divulgação de incidente de segurança apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

“Essa multa pecuniária é um lembrete contundente de que a proteção de dados é uma responsabilidade séria e que as  empresas devem cumprir as exigências legais para evitar consequência negativas para si próprias”.

Essa afirmativa é do advogado e sócio-head da Lee, Brock, Camargo Advogados (LBCA), especialista em Direito Digital e LGPD, Paulo Vinícius de Caralho Soares sobre a primeira sanção aplicada pela Autoridade Nacional de Proteção de Dados (ANPD) a uma microempresa de telemarketing por indícios de violação à Lei Geral de proteção de Dados (LGPD).

VEJA MAIS: Qual será a dosimetria para aplicação de penas para quem violar a LGPD?

A Agência aplicou uma advertência e duas multas no total de R$ 14,4 mil (infração aos artigos 7º e 5º da LGPD) relativas a supostas irregularidades no tratamento de dados, ausência de informações solicitadas à Agência, além de não indicar um encarregado de Dados ou Data Protection Officer (DPO).

Para Paulo Vinícius, somente a falta de indicação de um DPO (Encarregado de Dados) resulta em prejuízos para as organizações.

“A adequação à LGPD é obrigatória para todas as empresas  que gerenciam dados pessoais. Um passo  fundamental nesse processo é nomear os agentes de tratamento de dados, caso do DPO – que a empresa advertida e multada  não dispunha.

Ele  funciona como  um mediador das comunicações e reclamações  entre os titulares de dados e a Agência Nacional de Proteção de Dados, atendendo toda demanda que a empresa receber; adotando providências legais que irá eximir a companhia de advertências e multas, além de preservar a credibilidade e imagem da corporação no que envolver gestão de dados pessoais”, explica o advogado.

VEJA MAIS: A importância dos guias orientativos da ANPD

No caso de a empresa renunciar ao direito de recorrer da decisão em primeira instância terá direito a uma redução do valor da multa que cairá para R$ 10.800,00. O prazo para pagamento de multa é de 20 dias úteis cotados da ciência da decisão.

A multa aplicada pela ANPD deve ser paga em até 20 dias úteis. Caso a empresa não recorra, o valor poderá ser reduzido para R$ 10,8 mil. Se a decisão não for cumprida, o processo administrativo será encaminhado à Procuradoria Federal Especializada da ANPD para execução da multa, sob pena de inscrição da autuada na dívida ativa da União e no Cadastro Informativo de Créditos não Quitados do Setor Público Federal (Cadin).

O post Especialista em LGPD alerta sobre primeira sanção por infração aplicada pela ANPD apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

Todas essas medidas visam a mitigar impactos diante da exposição de corporações a conflitos nos próximos 12 meses.

Entre as razões que justificam esse incremento da preocupação com a proteção de dados somam-se as novas regulamentações sobre proteção de dados e a incerteza na geopolítica mundial, notadamente em países que possuem extrema importância no cenário da inovação tecnológica. 

As empresas têm um longo caminho a percorrer para se protegerem contra violações de dados e outras ameaças

Nessa esteira, a China já trouxe novas regulamentações em 2022, com a Lei de Segurança de Dados e a regra da Transferência de Dados Transfronteiriça ao abrigo de sua Lei de Proteção de Informações Pessoais (PIPL), que trata da proteção dos direitos e interesses dos indivíduos, bem como a regulação das atividades de tratamento dos dados pessoais mediante protocolo transparente e rígido. 

Agora, países como Índia, Rússia e os Estados Unidos estão seguindo caminhos semelhantes, criando estruturas normativas que deverão ser cumpridas pelas empresas transnacionais.

O aumento das instabilidades políticas em alguns pontos do globo é outra preocupação das empresas, capazes de desencadear guerras cibernéticas, assim entendidas como uma forma de conflito em que atores estatais e não estatais usam a tecnologia da informação para atacar e danificar sistemas e infraestruturas críticas como sistemas financeiros, instalações de energia, fornecimento de água e transportes.

Além desses danos, tais atos podem também ter como objetivo o roubo de informações confidenciais, a sabotagem de sistemas ou até mesmo a queda de governos.

LEIA TAMBÉM:

• Avanços da nova Lei do Planejamento Familiar e impactos no setor de saúde
• É inevitável que as leis na América Latina se ajustem aos padrões de proteção de dados pessoais

Com as novas regulamentações de proteção de dados, é possível que alguns países usem o tema como apoio para restringir o acesso a dados que consideram sensíveis, inclusive dados pessoais. Tal hipótese pode levar a uma escalada na guerra cibernética e tornar o ambiente de negócios ainda mais complexo para as empresas transnacionais.

À medida que os dados se tornam mais importantes para a competitividade econômica e a segurança nacional, as decisões de aplicação podem parecer arbitrárias e as empresas podem enfrentar dificuldades para navegar em um ambiente regulatório tão complexo.

Diante desse cenário, as empresas que não dão atenção à proteção de dados podem sofrer com as consequências de uma eventual guerra cibernética, o que leva ao aumento dos cuidados com segurança de seus ambientes e treinamento de seus colaboradores e stakeholders.

Adicionalmente, a proteção da propriedade intelectual (PI) é uma preocupação crescente. As empresas temem que as auditorias possam expor informações sensíveis a olhos concorrentes. Com a rápida melhoria da inteligência artificial, que analisa os vastos repositórios de dados existentes, essas informações se tornam cada vez mais valiosas para empresas privadas e governos.

Todavia, metade dos líderes empresariais entrevistados na pesquisa afirmam que não se sentem confiantes com a governança e segurança de dados de suas organizações. Isso sugere que as empresas têm um longo caminho a percorrer para se protegerem contra violações de dados e outras ameaças.

Como plano de ação para alterar esse panorama, recomenda-se que as empresas multinacionais adotem uma visão mais ampla sobre se a entrada em um mercado atende a seus objetivos estratégicos mais amplos e sua própria segurança. 

Para tanto, devem levar em consideração as normas de proteção de dados, a aplicação interna do privacy by design, adotar medidas para proteger seus dados confidenciais e segredos de negócio, bem como garantir os devidos treinamentos para que seus funcionários estejam cientes das políticas de proteção de dados e que saibam como lidar com dados sensíveis. Isso inclui treinamento para detectar e relatar violações de dados.

Além disso, os conglomerados devem se atentar às movimentações geopolíticas da proteção de dados como, por exemplo, os debates das normas de proteção de dados no Reino Unido para modificar o status quo das normas de proteção de dados pessoais em seu território.

Isso inclui estarem cientes de como as regulamentações podem ser usadas para restringir  o acesso a dados em países específicos e como isso pode afetar os negócios. As empresas também devem ter planos de contingência em vigor para lidar com a interrupção do acesso a dados em diferentes países. 

Paulo Vinícius de Carvalho Soares é sócio e Data Protection Officer do Lee Brock Camargo Advogados 

O post Proteção de dados impacta ambiente empresarial apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

Durante o ano de 2022, a Autoridade Nacional de Proteção de Dados (ANPD) iniciou o processo de regulamentação das sanções e poderá aplicar sanções retroativas por violações que tenham sido praticadas desde agosto de 2021, podendo ser aprovado ainda no mês de fevereiro de 2023, passando para a fase de fiscalização e aplicação das multas.

A aplicação retroativa fica restrita às infrações que eventualmente forem cometidas após a vigência dos artigos 52, 53 e 54 da LGPD, já que não há possibilidade de aplicação de sanções por infrações ocorridas antes disso. Outro ponto relevante a ser destacado é que não é apenas a ANPD que poderá realizar a fiscalização do cumprimento da legislação. Outros órgãos, como o Ministério Público, Senacon e o Poder Judiciário também devem atuar no caso de serem acionados diretamente pelos titulares.

Olhando para o cenário internacional e tomando como parâmetro o Regulamento Geral de Proteção de Dados (RGPD), desde a sua entrada em vigência na União Europeia, em 25 de maio de 2018, já foram aplicadas pouco mais de 900 sanções, com valor que ultrapassa 1,3 bilhões de euros e o setor de saúde é um dos mais afetados. 

O maior grupo de multas está relacionado a medidas técnicas e organizacionais insuficientes, isto é, falta de segurança de dados. Somente nesta área foram aplicadas 21 multas, num total de cerca de 8,9 milhões de euros ou mais de 90% do valor total das multas no setor da saúde.

No Brasil, em 2021, um hospital foi condenado a pagar uma indenização para uma paciente por conta de falhas de segurança na guarda dos prontuários médicos. 

Em resumo, de acordo com o processo, houve uma invasão aos sistemas do hospital, possibilitando que uma pessoa não autorizada tivesse acesso a informações que deveriam ser mantidas em sigilo e, com isso, conseguiu convencer familiares da paciente a realizar um depósito no valor de R$ 3.000 para a realização de supostos procedimentos médicos não cobertos pelo serviço contratado.

 Ao final da ação, o hospital foi condenado ao pagamento de uma indenização por danos morais e em restituir o valor pago ao golpista pela família da paciente.

Contudo, mais preocupante do que os valores que são pagos em multas e indenizações, o dano reputacional e à imagem é algo que poderá conduzir o titular a procurar outra empresa para se relacionar por quebra de confiança. E para evitar as punições, o segredo é apenas um: estar em conformidade com a legislação e preparado para atender às demandas e solicitações que chegarem, sejam dos titulares ou dos órgãos de fiscalização.

É importante entender o ciclo de vida dos dados pessoais, apontar as finalidades pela qual ocorre cada uma das operações de tratamento e definir as bases legais que justificam e autorizam as atividades. Além disso, avaliar os compartilhamentos e as medidas de segurança que são adotadas para proteger a confidencialidade, integridade e disponibilidade das informações também é altamente recomendável.

No setor da saúde, por lidar com dados sensíveis, os cuidados devem ser redobrados pelos agentes de tratamento.

 Além disso, em razão da volumetria de dados pessoais e dados pessoais sensíveis que são manipulados no dia a dia em clínicas, consultórios, laboratórios e hospitais, os riscos podem ser muito altos e precisam ser tratados de acordo com a urgência e nível de criticidade. Isso porque, conforme previsão da LGPD, no caso de algum dano (patrimonial ou moral) ao titular, o agente de tratamento fica obrigado a reparar.

Daí vem a necessidade de se estabelecer um Programa de Governança em Proteção de Dados, que possa trazer segurança para as atividades de tratamento que são realizadas, garantindo um nível adequado de conformidade com a legislação como um todo (e não apenas com a LGPD), permitindo que os agentes de tratamento realizem suas operações e possam estar preparados para atender aos titulares, órgãos de fiscalização e também para agirem em casos de incidentes de segurança.

A pandemia do coronavírus fez com que houvesse uma alta na procura por atendimentos médicos e diariamente foram divulgadas informações sobre o número de novos contaminados, total de vacinados, registro de óbitos e indicação dos que foram curados. O compartilhamento destas informações consta no item 43, do Anexo da Portaria nº 204/2016, do Ministério da Saúde, que estabelece os critérios e lista de doenças que devem ser comunicadas compulsoriamente com os órgãos de saúde pública.

O volume de informações divulgadas e o registro em um banco de dados unificado atraiu hackers que realizaram ataque aos servidores do DataSUS e gerou o comprometimento de informações de saúde de milhões de brasileiros, causando instabilidade no aplicativo ConecteSUS, que reúne registros da vacinação contra o coronavírus. 

Após a identificação das falhas que permitiram o acesso indevido, houve a necessidade de reparos por parte do Ministério da Saúde, para reforçar o nível de segurança e recuperar os registros do aplicativo.

Esse ataque acendeu o alerta para o setor da saúde, fazendo com que inúmeras instituições que ainda não haviam iniciado seus programas de governança, começassem a se movimentar para adequar suas atividades. 

Pelo que se percebe do cenário atual, somente com a elaboração e implementação de um programa de governança em proteção de dados aderente, com a revisão das medidas de segurança para garantir o sigilo das informações que estejam sob guarda e responsabilidade das instituições e reforço das boas práticas para gerar engajamento e aculturamento interno, é possível demonstrar um nível seguro de conformidade.

Por lidar com dados pessoais sensíveis, que podem gerar um nível de exposição extremamente elevado aos titulares, as instituições de saúde precisam se manter vigilantes quanto às regras de proteção de dados e segurança da informação, vez que se encontram como alvo principal dos ciberataques. As empresas ligadas ao setor de saúde estão entre as mais visadas para ataques cibernéticos, superando o setor de varejo que foi altamente afetado nos últimos anos.

Os cibercriminosos sabem que os ataques que envolvem dados de pacientes podem afetar a continuidade dos atendimentos médicos e, em razão disso, caso não haja um backup atualizado e medidas de segurança capazes de garantir a confidencialidade, integridade e disponibilidade dos dados pessoais, numa tentativa de ransomware, por exemplo, há uma possibilidade de cobrarem valores elevados para o resgate de tais informações.

Pesquisa divulgada pela Check Point Research (CPR), referente ao terceiro trimestre de 2022, mostra que a saúde é o setor mais atingido por ataques cibernéticos no Brasil, sendo que uma em cada 42 organizações foi afetada por um ransomware. Em média, as organizações foram atacadas 1.484 vezes semanalmente, um aumento de 37% comparado ao período do terceiro trimestre de 2021. 

Para proteger suas informações, é importante que as empresas do setor de saúde implementem medidas de segurança cibernética rigorosas.

Isso inclui a realização de treinamentos de segurança para todos os funcionários, a instalação de software de segurança atualizado em todos os dispositivos e a criação de políticas rigorosas de senhas, controle de acessos e gestão de ativos. 

Além disso, é importante monitorar constantemente as atividades de rede e contar com uma equipe de segurança cibernética para monitorar as ameaças e responder rapidamente a qualquer incidente. Em conjunto com o Data Protection Officer (DPO), esses profissionais têm o conhecimento e a habilidade para proteger as informações sensíveis e garantir a continuidade dos negócios.

Estar atento às novidades tecnológicas e implementar as medidas adequadas obviamente que não é garantia de que a empresa não sofrerá um incidente, assim como a adoção de boas práticas. Porém, a boa-fé do agente de tratamento é um critério atenuante no caso de aplicação de sanções pela autoridade.

Adalberto Fraga Veríssimo Júnior é advogado, graduado em Direito pelo Centro Universitário Filadélfia (UniFil), certificado em proteção de dados pela CertiProf e em segurança da informação (ISO 27001) e proteção de dados (LGPD e GDPR) pela AdaptNow, especialista em Direito Digital e Proteção de Dados pela Ebradi, pós-graduando em Cibersegurança e sócio da Lee, Brock, Camargo Advogados (LBCA) na área de Direito Digital e Novas Tecnologias.

O post Sanções por descumprimento da LGPD pode atingir o setor de saúde apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

Um dos pontos mais suscetíveis de controvérsias é o monitoramento de crianças em escolas. Enquanto para alguns, a medida garante a segurança dos vulneráveis e ameniza preocupações dos pais; para outros configura invasão de privacidade e intimidação dos profissionais da educação.

No âmbito internacional, a National Education Union3, um dos maiores sindicatos de professores e profissionais de educação do Reino Unido, elaborou uma política voltada para regular o uso do sistema de vigilância por meio de câmeras denominado CCTV Systems (Closed Circuit Television) em escolas.

O objetivo é estabelecer diretrizes de forma que as escolas consigam implementar esse sistema para trazer segurança, mas, ao mesmo tempo, garantindo que esse uso seja responsável e seguro, em especial no que tange à proteção de dados pessoais.

A vigência da Lei Geral de Proteção de Dados Pessoais (LGPD)4 no Brasil aumenta ainda mais as discordâncias, motivo pelo qual tem sido necessário ponderar sobre a aplicação conjunta das normas que abrangem a temática.

LEIA TAMBÉM: 

• Solano de Camargo explica PL que impede a divulgação de vídeos de infração de trânsito na web

No ano passado, foi noticiada a utilização de câmeras escondidas para monitorar alunos em locais proibidos5.  No caso em questão, a escola posicionou  câmeras  entre os azulejos dos banheiros femininos e masculinos, contrariando a Constituição Federal de 1988, que garante a inviolabilidade da intimidade no  art. 5º, inciso X e o art. 227, que garante a proteção de crianças e adolescentes pela família, sociedade e Estado.

Tal conduta fere tanto o Estatuto da Criança e do Adolescente (“ECA”), pelo constrangimento causado aos alunos, quanto a LGPD, pela falta de transparência e do cumprimento das exigências da legislação para proteção dos dados pessoais de crianças.

Inicialmente, o ECA6 atribui às crianças e aos adolescentes o direito à liberdade e à dignidade, deixando evidente que, apesar do poder pátrio, a garantia dos direitos individuais desse grupo não depende apenas da vontade dos pais, à luz  dos arts. 3º e 4º. Exemplo disso é a necessária consideração  do princípio do melhor interesse da criança7 e/ou adolescente, implicitamente previsto na normativa e na Constituição Federal8,  ligado à doutrina da proteção integral.

Considerando o cenário de insegurança e violência no país, é compreensível a angústia dos responsáveis. Porém, a vigilância em excesso pode interferir no desenvolvimento social e acadêmico dos menores.

Os que defendem a utilização de câmeras em escolas sustentam que esse uso visa prevenir condutas violentas, ajudam educadores a identificar e coibir práticas de bullying, auxiliam no monitoramento de áreas das escolas como corredores, espaços de recreação e portarias, inclusive, ajudando a prevenir a entrada ou permanência de pessoas não autorizadas.

Apesar de existirem vantagens na adoção de câmeras no ambiente escolar, é preciso ter muita cautela e ponderar os riscos envolvidos na realização dessa vigilância e monitoramento.

Além do princípio do melhor interesse da criança, o contraponto dos prós e contras precisa atentar para o previsto no art. 232 do ECA, pois a norma determina que constitui crime submeter qualquer criança ou adolescente à vexame. Desse modo, ao instalar monitoramento por câmeras, mesmo com intenções legítimas, é necessário ter em mente que captar imagens capazes de constranger ou expor um menor está em desconformidade com o texto legal.

Por exemplo, filmar uma criança praticante de bullying, é uma atitude que inicialmente poderia ser vista como aceitável. No entanto, existem riscos também à violação da privacidade da criança que praticou a conduta reprovável.

Além disso, nessa situação, na qual a escola poderia responder judicialmente, o teor da filmagem possui potencial para impactar a vida da criança ao longo de seu crescimento, especialmente considerando a cultura de cancelamento presente na sociedade atual.

Como enfatizado, é ainda de extrema importância considerar as questões ligadas à privacidade e proteção de dados pessoais. O monitoramento implementado nas escolas deve observar os princípios e as regras previstos na LGPD, especialmente tendo em vista o potencial de uso abusivo de dados de indivíduos menores de idade, invadindo a privacidade dos alunos.

Exemplificando, tal abuso pode se dar pela coleta excessiva de dados pessoais e/ou pela falta de transparência sobre diferentes operações de tratamento. Ademais, a coleta de dados de crianças e adolescentes, por regra geral, só pode ser realizada com o consentimento específico de pelo menos um de seus responsáveis legais e em destaque9.

Referente ao tema do tratamento de dados pessoais, é certo que a escola, ao coletar e tratar essas informações dos alunos, se torna controladora dos dados pessoais, e, consequentemente, a responsável pelas informações  que coleta.

Dessa forma, responde por eventuais danos causados aos titulares. Isso significa que a escola deve cumprir, sobretudo, os  princípios estabelecidos na LGPD, incluindo  – mas  não se limitando – ao princípio da necessidade, adequação e finalidade, que aplicado às instituições de ensino determinará que não estão autorizadas a coletar dados pessoais e tomar medidas mais invasivas do que o necessário para a finalidade de tratamento.

Outro ponto relevante para as escolas é o estabelecimento de estruturas de governança e de segurança de informação relacionadas ao acesso aos dados pessoais de seus alunos. Quem terá acesso às imagens capturadas pelas câmeras? De que modo o acesso será feito? A preocupação com eventuais vazamentos deve levar os controladores de dados pessoais a repensar  suas estratégias  de tratamento e métodos de mitigação dos  riscos de irregularidades.

Nesse sentido, as escolas devem ainda adotar medidas como a nomeação de um encarregado (ou Data Protection Officer) para garantir a conformidade com a LGPD. Além disso, adotar políticas para regular e dar transparência a esse tratamento de dados pessoais, como a Política de Privacidade, Política de Segurança da Informação, garantida a acessibilidade da transmissão da informação e possíveis novas orientações sobre o tratamento de dados de crianças e adolescentes pela ANPD.

Em acréscimo, o Regulamento Interno na Instituição é uma medida igualmente essencial. Outro elemento importante é instituir canal de comunicação efetivo para o exercício de direitos pelos titulares, treinando colaboradores para que desempenhem suas atividades com base nessa nova cultura de privacidade e proteção de dados que está sendo construída.

Portanto, a tomada de decisão sobre a adoção ou não de câmeras no ambiente escolar envolve diversos aspectos. Assim, exige-se ser cuidadosamente analisada e pensada de modo a estar em conformidade com as normativas acima referidas e, ao mesmo tempo, atingir a finalidade de proteger crianças e adolescentes, sob pena de ser caracterizada como vigilância excessiva.

1 BRASIL. Supremo Tribunal Federal. Repercussão Geral no Recurso Extraordinário com Agravo 878.911 Rio de Janeiro. Recorrente: Câmara Municipal do Rio de Janeiro. Recorrido: Prefeito Municipal do Riode Janeiro. Relator: Ministro Gilmar Mendes. Julgado em 19 de setembro de 2016. Disponível em https://portal.stf.jus.br/processos/downloadPeca.asp?id=310486098&ext=.pdf Acesso em: 09 jan. 2023.

2 CONFEDERAÇÃO NACIONAL DA INDÚSTRIA (CNI). Retratos da Sociedade Brasileira – Segurança Pública. Indicadores CNI. ano 6. nº 38,2017. Disponível em: https://static.poder360.com.br/2017/03/retratosdasociedadebrasileira.pdf. Acesso em: 16 ago 2022.

3 O referido documento detalha os parâmetros que devem ser adotados pelas escolas para utilização do sistema CCTV, e reconhece que as imagens capturadas são dados pessoais e, por essa razão, o tratamento desses dados deve estar em conformidade com o General Data Protection Regulation (GDPR). Disponível em:

NATIONAL EDUCATION UNION. CCTV Model Policy for schools. 28 de setembro de 2021. Disponível em: https://neu.org.uk/media/17481/view#:~:text=When%20CCTV%20recordings%20are%20being,need%2Dto%2Dknow%20basis.&text=Individuals%20have%20the%20right%20to,to%20the%20Data%20Protection%20Officer. Acesso em: 09 jan. 2023.

4 BRASIL. Lei 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Brasília, DF: Presidência da República, 2018.. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2019-2022/2020/lei/l14020.htm. Acesso em: 16 ago 2022.

5 Alunos acham câmeras instaladas em banheiros de escola estadual na Mooca, Zona Leste de SP. G1, junho de 2022. Disponível em: https://g1.globo.com/sp/sao-paulo/noticia/2022/06/27/alunos-acham-cameras-instaladas-em-banheiros-de-escola-estadual-na-mooca-zona-leste-de-sp.ghtml Acesso em 16 ago 2022.

6 BRASIL. Lei 8.069 de 13 de julho de 1990. Dispõe sobre o Estatuto da Criança e do Adolescente e dá outras providências. Brasília, DF: Presidência da República. Disponível em: http://www.planalto.gov.br/ccivil_03/leis/l8069.htm. Acesso em: 16 ago. 2022.

7 É importante registrar que o melhor interesse da criança também está determinado na Convenção Internacional de Haia, que trata da proteção dos interesses das crianças, e em outras normativas internacionais. O Código Civil também abrange o princípio nos arts. 1.583 e 1.584, refletindo a própria disposição do art. 227 da Constituição Federal que dispõe sobre os deveres com o menor e adolescente.

8 BRASIL. Constituição da República Federativa do Brasil de 1988. Brasília, DF: Presidência da República, 1988. Disponível em: http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm. Acesso em: 16 ago 2022.

9 Sobre este assunto, a IX Jornada de Direito Digital e Novos Direitos registrou orientações nos enunciados 682, 684 e 692 Além disso, há a discussão presente no Estudo Técnico da ANPD 3615243. Ambas as orientações apresentam panoramas, ainda que o tema persista divergente. BRASIL. Enunciados da IX Jornada de Direito Civil:

comemoração dos 20 anos da Lei n. 10.406/2022 e da instituição da Jornada de Direito Civil: Enunciados aprovados (Direito Digital e Novos Direitos). Brasília: Conselho da Justiça Federal, Centro de Estudos Judiciários.  https://www.cjf.jus.br/cjf/corregedoria-da-justica-federal/centro-de-estudos-judiciarios-1/publicacoes-1/. Disponível em: jornadas-cej/enunciados-aprovados-2022-vf.pdf. Acesso em: 29 dez. 2022.

AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS. Estudo Preliminar: Hipóteses legais aplicáveis ao tratamento de dados pessoais de crianças e adolescentes. Setembro de 2022. Disponível em: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/estudo-preliminar-tratamento-de-dados-crianca-e-adolescente.pdf. Acesso em: 2 dez. 2022.

Heloisa Hasselmann Camardella Schiavo
Advogada do escritório Lee, Brock, Camargo Advogados (LBCA).

Rayanne Conceição de Almeida dos Santos
Advogada do escritório Lee, Brock, Camargo Advogados (LBCA).

Beatriz Ferreira Guimarães
Advogada do escritório Lee, Brock, Camargo Advogados (LBCA).

O post Desafios do monitoramento com câmeras e da vigilância excessiva em espaços escolares apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

É fato incontestável que os cartórios que estão em conformidade com a LGPD saem na frente dos que ainda não procuraram se adequar à legislação e precisarão correr contra o tempo para atender ao prazo. Sabe-se que a adequação deve ser contínua, pois a lei é viva e o cenário tecnológico evolui constantemente.

Nesse sentido, considerando aqueles cartórios que possuem uma parte do projeto concluído, agora com o Provimento, precisarão reavaliar suas atividades para enquadrar os pontos que, eventualmente, não tenham sido contemplados no seu projeto inicial.

A LGPD elucida, no art. 23, §4º e §5º, que será dado às entidades prestadoras de serviços notariais e de registro o mesmo tratamento dispensado às pessoas jurídicas de direito público elencadas no art. 1º, parágrafo único, da Lei de Acesso à Informação (LAI), atribuindo-lhes, ainda, o dever de fornecer acesso aos dados por meio eletrônico à administração pública, tendo em vista as finalidades elencadas no caput do referido artigo.1

Neste sentido, o Provimento 134 – resultado de um longo debate no âmbito do CNJ tem como objetivo principal oferecer maior transparência aos usuários sobre as atividades de tratamento de dados pessoais desenvolvidas nos cartórios, trazendo definições significativas como a (i) a criação da Comissão de Proteção de Dados, no âmbito da Corregedoria Nacional de Justiça do Conselho Nacional de Justiça;

(ii) a definição dos agentes de tratamento; (iii) a adoção de regras de governança de tratamento de dados pessoais com o destaque para algumas atividades que devem ser realizadas, bem como; (iv) a adoção de providências elencadas no art. 6º, do Provimento, apresentando os requisitos básicos a serem seguidos para garantir proteção tanto dos próprios cartórios quanto para os usuários, considerando as diversas modalidades de cartórios existentes.

Vejamos:

I. nomear encarregado pela proteção de dados;

II. mapear as atividades de tratamento e realizar seu registro;

III. elaborar relatório de impacto sobre suas atividades, na medida em que o risco das atividades o faça necessário;

IV. adotar medidas de transparência aos usuários sobre o tratamento de dados pessoais;

V. definir e implementar Política de Segurança da Informação;

VI. definir e implementar Política Interna de Privacidade e Proteção de Dados;

VII. criar procedimentos internos eficazes, gratuitos, e de fácil acesso para atendimento aos direitos dos titulares;

VIII. zelar para que terceiros contratados estejam em conformidade com a LGPD, questionando-os sobre sua IX. adequação e revisando cláusulas de contratação para que incluem previsões sobre proteção de dados pessoais; e
treinar e capacitar os colaboradores.

Destaca-se nas medidas que o Provimento 134 traz o dever dos cartórios de definir e implementar a Política de Segurança da Informação, bem como a Política Interna de Privacidade e Proteção de Dados, visando à transparência aos usuários sobre o ciclo de tratamento dos dados pessoais.2

O CNJ também traz a necessidade do mapeamento de todas as atividades de tratamento de dados pessoais pelos cartórios, sendo essas atividades compiladas no Inventário de Dados, arquivado e disponibilizado, no caso de solicitação da Corregedoria Geral da Justiça, da ANPD ou de outro órgão de controle. Aqui, vale mencionar que, o texto inclui o gap assessment, ou seja, a avaliação das lacunas e vulnerabilidades que poderão surgir a partir da etapa do mapeamento de dados.

Além disso, os cartórios deverão revisar e adequar os contratos vigentes às normas de privacidade e proteção de dados, levando-se em consideração a responsabilização dos agentes de tratamento.

Tal previsão tem como alvo contratos de natureza laboral, convênios externos, abrangendo, ainda, a necessidade de elaboração de Termos de Confidencialidade, Termos de Tratamento de Dados Pessoais e a inclusão de cláusulas de prazo de Retenção e Descarte de Dados Pessoais em contratos, convênios e instrumentos congêneres.

Elenca-se como método a ser seguido a criação de procedimentos de auditorias regulares para a realização da gestão de terceiros, com quem houver o compartilhamento de dados pessoais e a elaboração de orientações e procedimentos para as contratações futuras, no intuito de deixá-los em conformidade com a lei de regência.

Caberá aos responsáveis pela serventia, ainda, exigir de seus fornecedores de tecnologia, automação e armazenamento de dados pessoais, a devida adequação das exigências da LGPD, sobretudo quanto aos sistemas e programas de gestão de dados internos utilizados pelos colaboradores dos cartórios.

O texto deixa claro e evidente que o seu conteúdo é o mínimo, podendo o cartório adotar critérios mais rígidos para a sua adequação. Além disso, o Provimento 134 expressamente afirma que a função do Encarregado pela Proteção de Dados Pessoais poderá ser terceirizada, contratando-se pessoa física ou jurídica que esteja apta para o exercício da função (art. 10, I, do Provimento 134).

É de suma importância mencionar a novidade trazida pelo art. 11, do Provimento 134, o qual dispõe o dever pelas serventias da adoção do Relatório de Impacto à Proteção de Dados (RIPD), nos termos das instruções elencadas no dispositivo. Em contrapartida, temos que na LGPD a adoção deste documento pode ser dispensada, considerando que o texto normativo não dispõe de obrigação legal.

Neste sentido, até mesmo as organizações que já se encontravam em conformidade com a LGPD terão que passar a adotar esta exigência trazida pelo Provimento.

Ademais, temos que o Provimento 134 trouxe a exigência de as serventias realizarem treinamentos com seus colaboradores, sobre a conscientização da cultura de privacidade e proteção de dados pessoais, visando maior segurança e transparência a todos, devendo ser observados os critérios elencados no art. 16.

No que tange aos direitos dos titulares dos dados, também há a exigência da adoção de canal eletrônico específico para atendimento das requisições apresentadas pelos usuários, bem como de fluxos de atendimento aos direitos fundamentais, requisições e reclamações, desde o seu ingresso até o fornecimento da resposta, nos termos do art. 17, do Provimento 134 c/c art. 18, da LGPD.

O Provimento 134 trouxe, ainda, algumas mudanças nas rotinas dos colaboradores e usuários das serventias. Temos como exemplo, a mudança na coleta de dados e controle de acesso por terceiros na entrega de certidões, bem como no controle de acesso dos colaboradores aos documentos físicos armazenados nos cartórios.3

Desta forma, confira abaixo alguns passos que devem ser seguidos para conduzir uma organização eficiente na adequação à LGPD nas serventias extrajudiciais, de modo que se possa atender às disposições do Provimento 134:

a. Definição do Encarregado pela Proteção de Dados e Criação do Comitê de Privacidade: nesta etapa, deverá ser designado o Encarregado pelo tratamento de dados pessoais das serventias e, na sequência, criado o Comitê de Privacidade, a fim de discutir e promover as ações necessárias para assegurar o cumprimento das exigências do Provimento e da LGPD.

b. Realização do Mapeamento de Dados, Fluxos e Processos: nesta etapa, serão registrados e documentados os fluxos de dados pessoais tratados pela instituição elencando-se de forma detalhada os processos que envolvam o tratamento de dados pessoais.

c. Elaboração do Relatório de Impacto à Proteção de Dados: nesta etapa serão descritos os processos de tratamento de dados pessoais que podem gerar riscos aos usuários, bem como todas as medidas de salvaguardas e mecanismos adotados pelo cartório para mitigação dos riscos que possam afetar as liberdades civis e os direitos fundamentais dos titulares de dados.

d. Avaliação dos Riscos de Privacidade e Segurança e Elaboração do Plano de Ação: nesta etapa serão avaliados os riscos às garantias e direitos dos titulares, levando-se em consideração a realidade fática da instituição no que diz respeito às medidas de segurança existentes no momento da avaliação, com o objetivo de traçar um plano de ação para mitigação de riscos e combate a eventuais incidentes com dados pessoais.

e. Revisão e/ou Elaboração de outros Documentos Necessários: nesta etapa serão elaborados documentos hábeis à concretização dos princípios e ditames da LGPD, a exemplo da Política de Privacidade Interna e das Políticas de Segurança da Informação e de Resposta a Incidentes.

Tais documentos visam, dentre outros objetivos, dar transparência aos titulares acerca do tratamento dos dados pessoais e da segurança das informações tratadas e proporcionar instruções claras em relação a procedimentos, ferramentas e práticas capazes de mitigar riscos de violação aos direitos dos titulares.

f. Adoção de Procedimentos para os Usuários: nesta etapa será criado um canal de atendimento às solicitações dos titulares de dados, bem como adotadas medidas de transparência aos usuários sobre o tratamento dos dados pessoais pelas serventias.

g. Implementação das Contramedidas Adequadas: nesta etapa serão feitas ações, operações, ferramentas e métodos aplicados para neutralizar ameaças aos usuários e outros ativos das serventias, visando evitar falhas e vulnerabilidades na segurança das organizações.

h. Verificação de Contratos com Terceiros: nesta etapa será avaliado se os terceiros que estabelecem uma relação contratual com as serventias, estão em conformidade com a LGPD e o Provimento, visando mitigar riscos futuros para os usuários e as organizações.

i. Conscientização e Treinamento dos Envolvidos: nesta etapa será realizada a capacitação dos profissionais e prepostos das serventias através de treinamentos e medidas educativas para a atuação em conformidade com a norma de privacidade e proteção de dados.

Nota-se que o Provimento 134 dispõe de detalhamentos essenciais para a adequação das serventias extrajudiciais à LGPD, sobretudo, por conta da transformação digital que vivenciamos, bem como pela recente vigência da LGPD.

Apesar de que é possível que ainda haja alterações no texto legal, em busca de aperfeiçoamento pela Autoridade Nacional de Proteção de Dados, a posição do CNJ é elogiável e eficiente para todas as serventias extrajudiciais, as quais também deverão se adaptar à nova realidade jurídica.

Assim, espera-se que o debate evolua ainda mais para que esclarecimentos complementares sejam trazidos à tona com máxima brevidade. No entanto, cabe agora às Corregedorias Estaduais a complementação do Provimento 134 através de Normas de Serviço, o que possibilitará a efetiva aplicabilidade da nova disposição em todo território nacional, visando surtir todos os efeitos legais.

1 É sabido que com a transformação digital, tem sido muito fomentada a probabilidade de “digitalização dos cartórios”, tendo em vista que já tivemos diversas iniciativas nacionais de Provimentos e Medidas Provisórias que foram convertidas em Lei, a fim das serventias extrajudiciais se adequarem à nova realidade jurídica.

Assim, percebe-se o alinhamento de propósito maior das instituições públicas na assimilação dos impactos na sociedade da tecnologia, sobretudo nas atividades das serventias extrajudiciais.

2 Temos como exemplos de critérios adotados no ciclo de tratamento (i) a explicação de quais canais chegam os dados pessoais dos usuários; (ii) quais dados são coletados; (iii) porque e para qual finalidade são coletados; (iv) qual a base legal utilizada para tratar esses dados; (v) se os dados são compartilhados ou não; (vi) se sim, como e com quem são compartilhados; (vii) qual o prazo de retenção e descarte dos dados pessoais; (viii) entre outros critérios.

3 No que tange ao compartilhamento de dados com órgãos públicos, nos termos do art. 24, do Provimento, temos que o compartilhamento pressupõe ato normativo do órgão solicitante, ou convênio ou outro instrumento formal, com objeto compatível com as atribuições e competências legais da atividade notarial e registral,

devendo o compartilhamento ser fornecido de forma específica, adequada, necessária e proporcional ao atendimento das finalidades presentes na política pública do órgão e, ainda, devendo ser observado os protocolos de segurança da informação, sobretudo no que se refere a transferência de bancos de dados.

Adalberto Fraga Veríssimo Junior
Sócio da Lee, Brock, Camargo Advogados (LBCA) e coordenador na área de Direito Digital e Novas Tecnologias.

Luiza dos Anjos Lopes Licks
graduada em Direito pela Universidade Franciscana de Santa Maria/RS. Pós-Graduada Lato Sensu (LL.M.) em Direito Digital pela Universidade Presbiteriana Mackenzie de São Paulo/SP. Membro Efetiva da Comissão Especial de Privacidade e Proteção de Dados da OAB/SP. Advogada na Lee, Brock, Camargo Advogados (LBCA).

Luiz Sérgio Miranda Silva Urtubeny Filho
Graduado em Direito pela Universidade Federal da Bahia. Pós-Graduado em Direito Digital e Compliance pela Damásio Educacional. Mestrando em Direito pela Universidade Federal da Bahia. Advogado na Lee, Brock, Camargo Advogados (LBCA).

O post Começa a contagem regressiva para cartórios se adequarem à LGPD apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

Além do conhecimento técnico necessário para responder às solicitações de titulares de forma eficiente (tanto jurídico quanto de tecnologia da informação), o Encarregado também precisa realizar a gestão eficiente dessas solicitações e das respostas, para garantir que elas sejam atendidas dentro do prazo estabelecido pela ANPD.

Em empresas de grande porte, contudo, essa gestão pode se mostrar particularmente desafiadora. Além do maior volume de solicitações (pedidos de acesso, portabilidade ou eliminação de dados pessoais, por exemplo), as empresas maiores contam com diversos departamentos (jurídico, comercial, de coletas de subsídios, entre outros), e para atender os pedidos dos titulares de dados dependerá de uma comunicação eficaz entre esses departamentos.

LEIA TAMBÉM: 

• Como o Business Intelligence pode ajudar as empresas?
• A importância dos guias orientativos da ANPD

Como se sabe, o cenário vivenciado pela maioria das empresas é de emprego do e-mail (uma ferramenta de comunicação) como ferramenta de gestão, resultando em longas sequências de mensagens, com inúmeros colaboradores em cópia e demora para a tomada de ação, além das dificuldades de verificação da localização da demanda e gerenciamento da volumetria e natureza dos pedidos.

Diante desse cenário, os prazos não são acompanhados de forma adequada, não há levantamento de métricas relevantes para melhoria do atendimento e muitas solicitações acabam não sendo respondidas, acarretando o risco de sanções administrativas ou ações judiciais.

Ainda que a ANPD não tenha aplicado multas até o momento, qualquer empresa pode receber uma solicitação de informações, tendo que esclarecer a forma como os pedidos dos titulares de dados são respondidos. Nesse momento, demonstrar a seriedade com que a empresa conduz essas solicitações é essencial para comprovar o compromisso com as novas regras trazidas pela LGPD.

Não basta ter um DPO/Encarregado designado, com dados para contato via website, se ele ou ela não for capaz de atender e gerir aquelas informações com eficiência, celeridade e organização.

Cabe a cada empresa indagar como as tecnologias utilizadas impactam as vidas das pessoas e como melhor utilizá-las. Uma gestão eficiente de dados pessoais requer, necessariamente, uma boa gestão das solicitações de demandas realizadas pelos titulares desses dados, no exercício de seus direitos.

Isso significa uma melhor governança, cujo impacto repercute não apenas sobre a relação com os clientes, mas também sobre colaboradores, investidores, parceiros, fornecedores e sobre a sociedade como um todo.

Uma política de proteção de dados robusta faz parte de uma estrutura de governança sólida. É mais do que um diferencial competitivo, responder às solicitações de titulares de dados, forma rápida e eficaz contribui para o ganho reputacional da empresa, para a organização e gestão de processos, além de influenciar diretamente a continuidade de negócios.

O post Como a sua empresa atende solicitações de titulares de dados? apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

Recentemente, a Resolução CD/ANPD nº 2, de 27 de janeiro de 2022, que trata da aplicação da LGPD para agentes de pequeno porte, estabeleceu algumas disposições sobre a figura do encarregado. De acordo com a Resolução, algumas organizações de pequeno porte estão livres da obrigação de indicar um DPO, por vezes, onerosa para pequenos negócios^[2].

Porém, há diversas atividades e contextos em que o envolvimento do DPO é recomendável e essencial. A própria Resolução refere que a indicação do DPO para agentes de pequeno porte será considerada política de boas práticas e governança. Por isso, retomar a importância da existência do DPO pode auxiliar os agentes de pequeno porte na interpretação das recentes disposições da Resolução sobre o encarregado.

Para o bom funcionamento do programa de governança em privacidade, é essencial que o encarregado tenha independência para emitir seus juízos e recomendações, de acordo com as situações que lhe são apresentadas. A independência torna viável o posicionamento do encarregado em uma perspectiva de autonomia, sem o viés de ter que apoiar práticas que oferecem muitos riscos devido a um posicionamento mercadológico da organização^[3].

Isso possibilita efetivar a sua atribuição de conciliar os interesses do negócio à proteção da privacidade e aos direitos dos titulares de dados pessoais, minorando riscos relativos à segurança da informação e reputacionais. Assim, a ação independente do DPO é essencial para estruturação da governança e boas práticas em proteção de dados, e na expansão da cultura de privacidade aos colaboradores da empresa.

No mais, o encarregado possui atuação preventiva. Ao agir de modo contínuo e de forma qualitativa, o DPO deverá voltar suas análises à maneira como são tratados os dados pessoais, contribuindo para que lacunas nos processos sejam sanados e incidentes de segurança e violações a dados pessoais sejam evitados^[4].

Já a atuação proativa do DPO contempla, igualmente, a assessoria para revisões contratuais, melhorias de processos de empresas e negócios e, ainda, o direcionamento de soluções para continuidade da adequação à LGPD, a partir do dinamismo das operações com tratamento de dados pessoais.

Por exemplo, é comum que uma empresa, que ainda não passou por um projeto de adequação à LGPD, não possua políticas ou termos relacionados ao tratamento de dados pessoais. Nesse sentido, é parte das atribuições do DPO, nas perspectivas acima referidas, sinalizar sobre a necessidade da criação ou melhoria desses documentos, adequando aqueles já existentes à conformidade.

Isso trará maior segurança e condições de negócio não apenas para fornecedores e parceiros, mas para a credibilidade para a empresa perante a sociedade e clientes.

Além disso, a Guideline on Data Protection Officers (“DPOs”) possibilita identificar essas atuações multifatoriais, a medida em que estabelece primordialmente garantir que o DPO seja informado e consultado desde o início do tratamento de dados pessoais, garantindo evidência da implementação do privacy by design.

Ainda, há a indicação de que o DPO deve ser visto como um elemento-chave das tomadas de decisão, integrando discussões e grupos relevantes que atuam com tratamento de dados pessoais na organização^[5].

Considerando o contexto dos agentes de tratamento de pequeno porte, uma das mudanças estabelecidas pela Resolução CD/ANPD nº 2  é a dispensa da obrigatoriedade de indicação de um DPO, com exceção das hipóteses previstas no art. 3º da normativa^[6].

Em complementação, o art. 11 determina dois aspectos que merecem atenção.  O primeiro deles é que, quando o agente de tratamento não realizar a indicação do encarregado, será necessário disponibilizar um canal de comunicação com o titular de dados (parágrafo 1º do art. 11).

Essa previsão se destina a atender à exigência prevista no art. 41, parágrafo 2º, inciso I da LGPD, ou seja, a atribuição do encarregado de aceitar reclamações e comunicações dos titulares, prestando esclarecimentos e providências. Sendo assim, as empresas de pequeno porte deverão disponibilizar um e-mail ou algum tipo de canal para possibilitar o recebimento de informações e o exercício de seus direitos.

O segundo é a determinação de que, apesar da dispensa de obrigatoriedade, a indicação do encarregado será considerada política de boas práticas e governança para a finalidade da disposição do art. 52, parágrafo 1º, inciso IX da LGPD (parágrafo 2º do art. 11).

De acordo com o dispositivo da LGPD, as sanções administrativas serão aplicáveis pela ANPD considerando a situação em questão, sendo a adoção de política de boas práticas e governança um dos parâmetros de análise para a aferir a atribuição da responsabilização.

Outro aspecto que, de algum modo, se conecta com a previsão do art. 11 é a disposição do art. 16, que indica a possibilidade de que a ANPD determine o cumprimento de obrigações que dispensou ou flexibilizou na Resolução, caso a situação envolva aspectos que motivem a retomada das medidas, tais como natureza ou o volume das operações e riscos para os titulares.

Isso significa que há uma consideração, pela ANPD, de que os agentes de tratamento de pequeno porte estarão inseridos em contextos distintos. Ainda que a estrutura negocial inicialmente oportunize relativizações previstas na LGPD, é possível que outros aspectos justifiquem um retorno ao cumprimento, o que também pode se aplicar para as hipóteses do encarregado.

Da análise da normativa, é possível compreender que apesar da dispensa da obrigatoriedade, a importância da existência do DPO e suas atribuições não foi desconsiderada pela ANPD na Resolução.

Pelo contrário, ao considerar a opção de possuir um DPO uma de boa prática de governança, a ANPD conecta a existência da figura aos critérios interpretativos de análise para determinação de eventuais sanções administrativas, o que pode ser crucial no plano de mitigação de riscos das empresas de pequeno de porte, a depender da realidade das operações com tratamento de dados pessoais.

Assim, o DPO não deve ser compreendido como um elemento acessório, mas parte de uma organização empresarial comprometida com a privacidade e proteção de dados, aliado à estrutura de um comitê de privacidade.

Contar com a figura do encarregado entre os agentes de tratamento de pequeno porte é um aspecto a  ser considerado, uma vez que, a depender do caso, a indicação se tornará uma medida proativa e estratégica de precaução e prevenção na estrutura de conformidade à privacidade e proteção de dados.

—

Sobre os autores

Caio Matias Borba é especialista em proteção de dados e compliance, DPO certificado pela ITCERTS e Certified Expert in Compliance (CEC) – Instituto ARC e advogado da Lee, Brock, Camargo Advogados.

Mateus Reis dos Santos Alves  é Pós-graduando em Direito Digital UERJ/ITS e  advogado da Lee, Brock, Camargo Advogados.

Bruna Marques da Silva  é Mestre  em Direito pelo Programa de Pós-graduação em Direito da Unisinos. Pós-graduanda em Direito Digital e Proteção de Dados e  advogada da Lee, Brock, Camargo Advogados.

^[1] BRASIL. Autoridade Nacional de Proteção de Dados. Órgão: Presidência da República. Portaria nº 11 de 27 de janeiro de 2021. Torna pública a agenda regulatória para o biênio 2021-2022. Disponível em: https://www.in.gov.br/en/web/dou/-/portaria-n-11-de-27-de-janeiro-de-2021-301143313. Acesso em: 09 fev. 2022.

^[2] BRASIL. Autoridade Nacional de Proteção de Dados. Resolução CD/ANPD nº 2 de 2 de janeiro de 2022. Disponível em: https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-2-de-27-de-janeiro-de-2022-376562019. Acesso em: 09 fev. 2022.

^[3] CENTRE FOR INFORMATION POLICY LEADERSHIP (CIPL). CENTRO DE DIREITO, INTERNET E SOCIEDADE (CEDIS-IDP). O Papel do/a Encarregado/a conforme a Lei Geral de Proteção de Dados Pessoais (LGPD). 2021. Disponível em: – https://www.informationpolicycentre.com/uploads/5/7/1/0/57104281/[pt]_cipl-idp_paper_dpo_under_the_lgpd__27_sept_2021_.pdf. Acesso em: 09 fev. 2022.

^[4] INFORMATION COMISSIONER’S OFFICE (ICO). Guide to the General Data Protection Regulation (GDPR). Data Protection Officers. Disponível em: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/data-protection-officers/#ib7. Acesso em: 09 fev. 2022.

^[5] ARTICLE 29 WORKING PARTY. European Comission. Guidelines on Data Protection Officers (‘DPOs’). 2016. Disponível em: https://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp243_en_40855.pdf. Acesso em: 09 fev. 2022.

^[6] BRASIL. Autoridade Nacional de Proteção de Dados. Resolução CD/ANPD nº 2, de 2 de janeiro de 2022.     . Disponível em: https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-2-de-27-de-janeiro-de-2022-376562019. Acesso em: 09 fev. 2022.

O post Quem efetivamente conhece o papel do Encarregado de Dados? apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.